1.3. Принцип расчета рисков:

Входные данные:

-ресурсы;

-критичность ресурса;

-отделы, к которым относятся ресурсы;

-угрозы, действующие на ресурсы;

-уязвимости, через которые реализуются угрозы;

-вероятность реализации угрозы через данную уязвимость;

-критичность реализации угрозы через данную уязвимость.

С точки зрения базовых угроз информационной безопасности существует два режима работы алгоритма:

• Одна базовая угроза (суммарная);

• Три базовые угрозы.

1.4. Принципы разбиения шкалы на уровни

При работе с алгоритмом используется шкала от 0 до 100%. Максимальное число уровней –100, т.е. шкалу можно разбить на 100 уровней. При разбиении шкалы на меньшее число

уровней, каждый уровень занимает определенный интервал на шкале. Причем, возможно два варианта разделения:

1.5. Расчет рисков по угрозе информационной безопасности

1. На первом этапе рассчитываем уровень угрозы по уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает,

насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации.

Вычисляем одно или три значения в зависимости от количества базовых угроз. Получаем

значение уровня угрозы по уязвимости в интервале от 0 до 1.

2. Чтобы рассчитать уровень угрозы по всем уязвимостям CTh, через которые возможна

реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через

конкретные уязвимости по следующей формуле:

2.1. Для режима с одной базовой угрозой:

2.2. Для режима с тремя базовыми угрозами:

Значения уровня угрозы по всем уязвимостям получим в интервале от 0 до 1.

3. Аналогично рассчитываем общий уровень угроз по ресурсуCThR (учитывая все угрозы,

действующие на ресурс):

3.1. Для режима с одной базовой угрозой:

3.2. Для режима с тремя базовыми угрозами:

Значение общего уровня угрозы получим в интервале от 0 до 1.

4. Риск по ресурсу R рассчитывается следующим образом:

4.1. Для режима с одной базовой угрозой:

В случае угрозы доступность (отказ в обслуживании) критичность ресурса в год вычисляется

по следующей формуле:

Для остальных угроз критичность ресурса задается в год.

4.2. Для режима с тремя базовыми угрозами:

Da,c,i – критичность ресурса по трем угрозам. Задается в деньгах или уровнях.

R - суммарный риск по трем угрозам.

Таким образом, получим значение риска по ресурсу в уровнях (заданных пользователем) или

деньгах.

5. Риск по информационной системе CR рассчитывается по формуле:

5.1. Для режима с одной базовой угрозой:

5.1.1. Для режима работы в деньгах:

5.1.2. Для режима работы в уровнях:

5.2. Для режима работы с тремя угрозами:

5.2.1. Для режима работы в деньгах:

CRa,c,I – риск по системе по каждому виду угроз.

CR – риск по системе суммарно по трем видам угроз.

5.2.2. Для режима работы в уровнях:

1.6.Задание контрмер

Для расчета эффективности введенной контрмеры необходимо пройти последовательно по

всему алгоритму с учетом заданной контрмеры. Т.е. на выходе пользователь получает

значение двух рисков – риска без учета контрмеры (Rold) и риск с учетом заданной контрмеры

(Rnew) (или с учетом того, что уязвимость закрыта).

Эффективность введения контрмеры рассчитывается по следующей формуле (E):